Tecnología
Bumblebee, el nuevo malware que puede aparecer en tus Apps más populares y te robará tus datos: cómo detectarlo
Este programa se instala en los dispositivos de las víctimas para secuestrar sus datos
Recientemente un grupo de investigadores han identificado una serie de ataques maliciosos que propagan el software Bumblebee con el fin de instalar ransomware en los dispositivos de los usuarios, aprovechándose de aplicaciones populares y usadas en el día de a día por miles de personas como Zoom o ChatGPT, divulgadas a través de anuncios infectados en línea de Google.
Se trata de un programa que los ciberdelincuentes usan como herramienta de carga de ransomware en los dispositivos de los usuarios, o dicho con otras palabras, una forma de secuestrar datos que, normalmente, es distribuido a través de ataques de phishing. Bumblebee es un reemplazo del malware conocido como BazarLoader.
Han sido los investigadores de SecureWorks quienes han identificado varios ataques con Bumblebee, y que se difunden a través de anuncios infectados en línea, como por ejemplo los anuncios de Google, según han informado en un comunicado en su blog.
Los anuncios estaban vinculados a aplicaciones populares como Zoom, ChatGPT o Cisco AnyConnect, por lo que los ciberdelincuentes usan este gancho para engañar a los usuarios, que planean instalar estos softwares, pero realmente instalan Bumblebee a través de páginas de descargas falsas que promueven estos anuncios maliciosos para, posteriormente, acceder a su sistema e implementar ransomware.
Los investigadores analizaron uno de los ataques que utilizaba una falsa página de Cisco AnyConnect. El ciberdelincuente había creado esta página de descarga falsa de Cisco AnyConnect Secure Mobility a la que se accedía a través de un anuncio malicioso que se distribuía a través de los resultados de Google y enviaba a los usuarios a través de un sitio de WordPress comprometido.
En la página de descarga falsa se encuentra el archivo cisco-anyconnect-4_9_0195.msi, que es un instalador MSI (MIcrosoft Windows Installer). En él, se incluían dos archivos más con el nombre FILE_InstallMeCisco y FILE_InstallMeExe, que se copiaban en la carpeta de instalación y se ejecutaban.
El archivo FILE_InstallMeCisco es un instalador legítimo de la app Cisco AnyConnect que instala la aplicación real en el dispositivo, y es de esta forma como hacen creer a los usuarios que han instalado de manera correcta la instalación y sin peligro. Sin embargo, el archivo FILE_InstallMeExe es un script de PowerShell, y este archivo incluye una carga útil de Bumblebee codificada que se carga reflexivamente en la memoria del dispositivo.
Una vez instalado, los actores maliciosos comenzaron a actuar unas tres horas después de la infección, y entre otras acciones, desplegaron herramientas de acceso remoto como AnyDesk para controlar el dispositivo. Además, otras herramientas eran usadas por los ciberdelincuentes para realizar ataques de Kerberoasting, que se aprovechan del protocolo de autenticación de redes del ordenador Kerberos para recolectar credenciales de la base de datos de Active Directory.
Los investigadores vieron como esta forma de actuar se usaba en otros casos con instaladores de software y un nombre de script de PowerShell relacionados, como es el caso de Zoom, que utilizaba ZoomInstaller.exe y zoom.ps1, o ChatGPT, que utilizaba ChatGPT.msi y chch.ps1.
Desde SecureWorks recomiendan a los usuarios y organizaciones a revisar que los instaladores y las actualizaciones de los programas se descarguen únicamente de sitios web de confianza.
